需求描述

上了一臺防火墻，要遠程訪問，對于現(xiàn)在很多防火墻和路由器來說，很多問題都可以在遠程web訪問，直接解決。對于telnet配置和ssh配置，很多人都已經不太會使用了，在2009年剛學習思科的時候，路由交換機，防火墻里面都是命令行，哪有現(xiàn)在的web界面方式配置簡單。今天還是和大家來看一下防火墻的telnet是如何配置的，配置到底是難還是簡單？

consolte、telnet、ssh、web都有什么區(qū)別？

那我們還是先了解這四種常用的防火墻登錄方式，看一下都有哪些區(qū)別？

1.Console配置：

-特點：通過路由器的控制臺端口（通常是一個串口連接）進行本地管理和配置。

-特點：可以直接物理訪問路由器，不需要網絡連接。

-特點：提供最高級別的本地管理權限。

-區(qū)別：只能通過物理訪問路由器來進行管理，不支持遠程連接。

2.Telnet配置：

-特點：通過telnet協(xié)議遠程連接到路由器進行管理和配置。

-特點：需要路由器啟用telnet功能，并配置允許telnet連接的VTY接口。

-特點：數(shù)據(jù)傳輸是明文的，不提供加密，因此安全性較低。

-區(qū)別：支持遠程連接，但不提供加密功能。

3.SSH配置：

-特點：通過SSH（Secure Shell）協(xié)議遠程連接到路由器進行安全管理和配置。

-特點：需要路由器啟用SSH功能，并配置允許SSH連接的VTY接口。

-特點：提供加密的數(shù)據(jù)傳輸，提高了遠程管理的安全性。

-區(qū)別：支持遠程連接，并提供加密功能，安全性較高。

4.Web配置：

-特點：通過Web瀏覽器遠程連接到路由器的管理界面進行配置。

-特點：需要路由器配置支持Web訪問，并啟用Web服務。

-特點：提供圖形化界面，易于使用和操作。

-區(qū)別：通過Web瀏覽器訪問，不需要使用命令行界面或特定的終端程序。

Console配置是一種本地管理和配置方式，通過物理訪問路由器的控制臺端口進行。

Telnet配置和SSH配置是遠程連接方式，通過網絡連接到路由器進行管理和配置。SSH提供了加密的數(shù)據(jù)傳輸，安全性更高。

Web配置提供了圖形化界面，通過Web瀏覽器遠程訪問路由器的管理界面進行配置。

防火墻telnet配置

那今天來大家看一下，網工經常用的遠程telnet如何訪問防火墻？

配置遠程訪問，那首先要了解的vty，那什么是vty呢？

VTY（Virtual Teletype）是一種虛擬終端接口，用于遠程管理和配置防火墻、路由器。通過配置VTY，您可以允許遠程用戶使用telnet協(xié)議或SSH協(xié)議連接到路由器，并進行管理和配置操作。

VTY接口通常使用數(shù)字標識，例如VTY 0、VTY 1、VTY 2等。每個VTY接口可以同時支持一個遠程連接，因此您可以配置多個VTY接口以支持多個同時的遠程管理會話。

首先我直接訪問防火墻的telnet服務，發(fā)現(xiàn)無法訪問。

第一步：確定IP地址，在G0/0/3中，已配置內網的IP地址。

interface GigabitEthernet0/0/3

undo shutdown

ip address 192.168.3.1 255.255.255.0

service-manage http permit

service-manage https permit

service-manage ping permit

dhcp server ip-range 192.168.3.1 192.168.3.254

dhcp select interface

dhcp server dns-list 218.2.135.1 114.114.114.114

第二步：將G0/0/3劃分到trust區(qū)域。

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet0/0/3

第三步：配置telnet訪問，通過aaa的用戶名和密碼。

[USG6300FW]aaa

[USG6300FW-aaa]manager-user tel

[USG6300FW-aaa-manager-user-tel]password cipher Aa123456

Info:You are advised to config on man-machine mode.

[USG6300FW-aaa-manager-user-tel]service-type telnet

Warning:The user access modes include Telnet or FTP,so security risks exist.

[USG6300FW-aaa-manager-user-tel]level 15

第四步：配置VTY

配置VTY接口涉及以下步驟：

進入防火墻的系統(tǒng)視圖模式（system-view）。

<USG6300FW>system-view

使用“user-interface vty”命令進入VTY接口配置模式。

[USG6300FW]user-interface vty 0 4

[USG6300FW-ui-vty0-4]

[USG6300FW-ui-vty0-4]authentication-mod

[USG6300FW-ui-vty0-4]authentication-mode?

aaa AAA authentication,and this authentication mode is recommended

password Authentication through the password of a user terminal interface

[USG6300FW-ui-vty0-4]authentication-mode aaa

Warning:The level of the user-interface

s

will be the default level of AAA users,please check whether it is correct.

[USG6300FW-ui-vty0-4]protocol inbound?

all All protocols

ssh SSH protocol

telnet Telnet protocol

[USG6300FW-ui-vty0-4]protocol inbound telnet

第五步：配置安全策略，trust區(qū)域可以訪問防火墻local接口

[USG6300FW]security-policy

[USG6300FW-policy-security]rule name allow_telnet

[USG6300FW-policy-security-rule-allow_telnet]source-zone trust

[USG6300FW-policy-security-rule-allow_telnet]destination-zone local

[USG6300FW-policy-security-rule-allow_telnet]action permit

[USG6300FW-policy-security-rule-allow_telnet]quit

[USG6300FW-policy-security]quit

上述五步都配置完成了，哈哈，我厲害了，配置了這么多，馬上來檢測結果。

我call，為什么telnet訪問不了，怎么回事，不應該呀，教科書般的配置，不應該出錯呀？測試ping也可以正常ping通。

難道是防火墻的telnet服務沒有開，開啟telnet服務。

<USG6300FW>system-view

Enter system view,return user view with Ctrl+Z.

[USG6300FW]telnet server enable

Warning:Telnet is not a secure protocol,and it is recommended to use Stelnet.

[USG6300FW]telnet server enable

Info:The Telnet server has been enabled.

哈哈，防火墻的telnet服務也開了，這次可以登錄了吧，我真是個大聰明，call call，怎么回事，怎么還telnet不了。怎么回事？

最后直接進入到g0/0/0接口，把telnet協(xié)議允許訪問。

[USG6300FW]interface GigabitEthernet 0/0/3

[USG6300FW-GigabitEthernet0/0/3]service-manage?

all ALL service

enable Service manage switch on/off

http HTTP service

https HTTPS service

netconf Netconf service

ping Ping service

snmp SNMP service

ssh SSH service

telnet Telnet service

[USG6300FW-GigabitEthernet0/0/3]service-manage telnet?

deny deny

permit permit

[USG6300FW-GigabitEthernet0/0/3]service-manage telnet per

[USG6300FW-GigabitEthernet0/0/3]service-manage telnet permit

我call，終于可以了。

于是使用剛才創(chuàng)建的aaa中的tel帳號登錄，可以正常登錄，telnet服務開啟完成。

在交換機上也可以正�？吹竭@個telnet的用戶信息。

于是我又測試了，將安全策略trust訪問local刪除。

刪除完成之后，再測試，發(fā)現(xiàn)電腦還是可以telnet到防火墻的，看來，華為的防火墻trust到local默認是放行的，不需要單獨做安全策略。

當然了，還有更簡單的方式，直接使用web訪問，直接允許telnet或ssh訪問。